- 1 :うしうしタイフーンφ ★:2011/10/22(土) 16:29:55.70 ID:???0
★乱数表使った暗証番号盗む新手口
インターネットを利用したネットバンキングで預金が不正に引き出される被害が相次いでいる問題で、
多くの金融機関が従来のパスワードなどに加えたセキュリティ-対策として導入している、
乱数表を使った暗証番号を盗み出そうとする新たな手口が、3つの都市銀行などで確認され、
警察庁は被害が広がるおそれがあるとして警戒を呼びかけています。
多くの金融機関では、従来のIDやパスワードに加えた追加のセキュリティー対策として、
預金者に乱数表のカードを配布しており、取り引きのたびに乱数表の異なるマスの位置に記された
数字を暗証番号として入力することになっています。
ところが警察庁などによりますと、三井住友銀行と三菱東京UFJ銀行、
それにイオン銀行の3つの銀行の預金者のパソコンに、この夏以降、
「セキュリティー向上のためカードを再発行する」という、
銀行からを装った偽のメールが送りつけられました。
添付されたファイルを開くと、乱数表の数字を入力させる画面が開き、
預金者が入力してしまうとすべての数字が盗み出される仕組みで、
イオン銀行では被害は確認されていませんが、三井住友銀行と三菱東京UFJ銀行では、
合わせておよそ1500万円が引き出されたということです。
警察庁はセキュリティー対策を破る新たな手口とみて警戒を呼びかけています。
NHK http://www3.nhk.or.jp/news/html/20111022/k10013438821000.html- 111 :名無しさん@12周年:2011/10/22(土) 17:00:42.59 ID:vAbiz9ys0
- ネットバンクが必要な人の生活パターンというのが理解できん。
足が不自由な人か? - 424 :名無しさん@12周年:2011/10/22(土) 23:13:12.86 ID:9yW1hlJK0
- SBIのも頻繁に取引していて、スパイウェアによってカード裏番号が多く盗まれると認証破られる。
カード裏に数十の1桁乱数を配置して、画面で指定されたカード裏の2つの場所の乱数を
足した1の位を入力する操作を数回行う方式なら、専用ハードウェアなしで高い安全性を
確保できる - 430 :名無しさん@12周年:2011/10/22(土) 23:19:40.29 ID:lxQe+jtA0
- >>424
別に専用のハードウェアなんかなくても専用のソフトでいいだろ。
なんで汎用のブラウザ使わせるんだよ。
問題はそこ、つまり銀行は責任転嫁のために専用のソフトを作らない。 - 434 :名無しさん@12周年:2011/10/22(土) 23:24:45.43 ID:dt/OiovI0
- >>430
すべてのOSで用意するか?
Win,Mac,iOS,Android,WindowsMobile。
メジャー所で5つ。
作ったら、セキュリティfixもいる。
それならRSAのトークン配って、
ワンタイムパスワード使わせた方がお得。 - 436 :434:2011/10/22(土) 23:31:19.33 ID:dt/OiovI0
- >>430
あと補足。
専用ソフトだと、解析されたらアウト。
専用ソフトのふりをするツールとか作られる。 - 438 :名無しさん@12周年:2011/10/22(土) 23:39:29.90 ID:lxQe+jtA0
- >>436
意味がわからないことをいうなよ。汎用ブラウザならOKなのかな。
ていうかあまり詳しくないみたいだね。ネットワーク - 441 :名無しさん@12周年:2011/10/23(日) 00:53:40.41 ID:XMsiGum/0
- >>438
うん、ネットワークは詳しくないよ。
使うIP申請させるって、現実的じゃないと思う。
iphoneって、NAPT変換してるけど、それどうやって解決する?
一般人が使うIP把握できる?
三井住友やみずほは、RSAのトークンを有償で配ってるから、
既にある仕掛けで対応できるから、そっちの方が現実的じゃないのって話。
あと、WindowsとiOSとAndroidとMacOSは同一の言語で書けるの?
詳しそうだから訊くけど、JAVAでiOSのアプリ書ける?
書けたら言語の問題は解決するけど。
言っとくけど、これ釣りじゃないよw - 444 :名無しさん@12周年:2011/10/23(日) 01:29:52.97 ID:ho2F8utp0
- >>441
できるできないとかではなく、選択させる、明示する、を運用に入れるべきという話だよ。
こういうのに引っかかる人なんてのは、特定のプロパイダで同じ場所
からアクセスしている人が多いだろうから、プロパイダのIPと地域でフィルターしてしまう。
携帯やスマートフォンなら、それを使うということを選択させて、その割り当てIPでフィルタ。
どこからでもどんなプラットフォームでもという人は、なんでもありを選択させればいい。
IDとパスワードと暗号表渡して、なんの制限もつけずに口座開設というのが銀行の怠慢、
そういう話をしてるんだ。 犯罪を安易にするからね。
トークンとかキーとかを重視するより、まずは使用制限をかけて提供して
顧客のニーズで制限を解除できるようにするべきということ。
>あと、WindowsとiOSとAndroidとMacOSは同一の言語で書けるの?
蛇足だろうけど、そんなのは瑣末な技術的問題だよ。
複数のプラットフォームで共有できるものをすればいいし、特定のOSは特化するべきなら
そうすればいい。必要十分な費用をかけてね。
JAVAでもPysonでも好きなものを使えばいい。 - 447 :名無しさん@12周年:2011/10/23(日) 01:44:47.16 ID:Z/N8l6Pv0
- >>444
IPフィルタリングをセキュリティの根拠にするのって、セキュリティの専門家から鼻で笑われますよw
認証方式とか少し勉強した方がいい。
今の乱数表とか、トークンがなぜ採用されているかが判るから。 - 461 :名無しさん@12周年:2011/10/23(日) 02:34:02.12 ID:ho2F8utp0
- >>447
いやこの場合は、まずIPフィルタリングがされていないことが問題ですね。
トークンとか設定者側の能力に依存するもの「だけ」を頼りにしてはいけない。
というかそれが銀行の責任転嫁だと書いてるんだよ。 - 462 :名無しさん@12周年:2011/10/23(日) 02:39:52.97 ID:Z/N8l6Pv0
- >>461
貴方の論理だと、印鑑による認証もダメになるんだけど。印鑑の管理は利用者依存だよね?
もうネットバンク関係ないよね? - 465 :名無しさん@12周年:2011/10/23(日) 02:41:26.03 ID:ho2F8utp0
- >>462
いや屁理屈はいいから。だれも印鑑のことなんて話してない。 - 466 :名無しさん@12周年:2011/10/23(日) 02:44:43.79 ID:Z/N8l6Pv0
- >>465
あんたの方が屁理屈だと思うぞ。
利用者責任の観点では、トークンとか乱数表の管理と同じなんだから。
あと、IPフィルタリングってセキュリティ上無意味です。だからドヤ顔して言ったら笑われるから。
無意味な事をやっても無駄だよね? - 468 :名無しさん@12周年:2011/10/23(日) 02:45:20.08 ID:2/ZDbQCE0
- >>465
具体的に、そのフィルターはどうやって管理するんだ?
利用者が使うかも知れないIPアドレスの範囲をどうやって把握するんだ?
利用者が間違った設定をしてアクセスできなくなったらどういう対応をするんだ?
「あまり意味ないけど、一応やっておく」にはデメリットが大きすぎる気がするんだが。 - 470 :名無しさん@12周年:2011/10/23(日) 02:50:06.90 ID:ho2F8utp0
- >>466
印鑑どうのは万人が認めるきみの屁理屈。この話題とそれまくり。
>あと、IPフィルタリングってセキュリティ上無意味です。
これもきみが思うんならそうなんだろう。君の中では。 としか言えない。
へんな粘着のつもりならやめて欲しいんだけど。
>>468
割り当てIPは、公開されてるからそれでOKでしょう。
間違ってアクセスできないとかは。それこそ危険顧客のあぶり出しでしょう。 - 473 :名無しさん@12周年:2011/10/23(日) 02:53:00.75 ID:Z/N8l6Pv0
- >>470
多分学生さんかな?
では質問。
アクセス元のIPが正しい物かどうかを、誰が保証してくれますか?
あるいはどのような手がかりで、真正な物であると判断しますか? - 475 :名無しさん@12周年:2011/10/23(日) 02:55:45.48 ID:ho2F8utp0
- >>473
プロパイダのIPをきみは詐称しているわけ? - 476 :名無しさん@12周年:2011/10/23(日) 02:57:54.77 ID:2/ZDbQCE0
- >>470
「自分が今使っているIPアドレス」の確認すら一般の顧客には難しいので、
問題が起きないようにするのは無理だ。コスト感覚がなさすぎるのと、
アクセス不可が客のリスクになるという意識がないのと、二つの問題がある。 - 477 :名無しさん@12周年:2011/10/23(日) 02:58:07.55 ID:Z/N8l6Pv0
- >>475
プロバイダのIPはなぜ詐称出来ないと考えるのですか? - 478 :名無しさん@12周年:2011/10/23(日) 02:59:49.02 ID:ho2F8utp0
- >>476
IPを言う必要はないんじゃないかな?プロパイダなりキャリアなりを登録すればいい。
それで範囲が決定できるよ。
>>477
きみ粘着。
ipフィルタは無意味なんだろう。きみの中では。それでいいでしょう。バイバイ - 489 :名無しさん@12周年:2011/10/23(日) 03:19:25.74 ID:XMsiGum/0
- >>478
俺が前にも書いたけど、SBのiphoneユーザだけで何人居る?
しかもNAPTで、IP重複してる。
確実に個人認証するには、鍵しか無い。
RSAのワンタイムパスワードトークンなら、もしパスワードが漏れても
パスワードに寿命があるから、被害に遭う確率が減る。
ただなあ、トークンの時計が微妙にずれると、タイミングで入れ直すケースがでるんだよな。今日俺もそうなったし。 - 490 :名無しさん@12周年:2011/10/23(日) 03:22:17.04 ID:ho2F8utp0
- >>489
えーと
認証と
フィルタ(IPチェック)
の違いってわかる? - 495 :名無しさん@12周年:2011/10/23(日) 03:35:12.93 ID:XMsiGum/0
- >>490
つなぐIPが限られたネットワークでない限り、IPのフィルタリングって意味ないでしょ?
ユーザが自分のIPアドレスコントロールできないから。
例えば、社内ネットワークとかで、DBサーバへのアクセスをAPサーバだけに絞るってのは、とても意味がある。
だけど、どこからアクセスするのか決まって無い前提なら、IPフィルタしても意味ない。
しかもCATVとかは、複数ユーザがおなじIPつかうなんて当たり前。
しかも、ユーザが自分のIPアドレスコントロールできない。
携帯電話なんか、旅行に行った先でIPが変わったので使えませんじゃ、せっかくのネットバンキングが使えない。 - 499 :名無しさん@12周年:2011/10/23(日) 03:45:19.11 ID:ho2F8utp0
- >>495
いやプロパイダごとキャリアごとに割り当てられているIPは決まっている。
もちろん日本に割り当てられているIPも決まっている。
だから、一般的な個人のPCで自分がどのIPに割り当てられるか
わからないというようなことはない、プロパイダによって一定の範囲があるよ。
モバイルでもキャリアごとに決まっている。 - 500 :名無しさん@12周年:2011/10/23(日) 03:54:19.79 ID:XMsiGum/0
- >>499
あの~
大企業って、クラス1のグローバルIPいくつも持ってるんですけど。
それ、全部OKにしたら、たいして意味が無いように思えるのですが?
あと、そんだけのフィルタリングルール書ける機械ってあります? - 504 :500:2011/10/23(日) 04:03:14.18 ID:XMsiGum/0
- >>499
補足追加:
海外からも使う可能性はありますよね? - 505 :500:2011/10/23(日) 04:06:34.47 ID:XMsiGum/0
- >>499
補足追加の追加:
IPアドレス売買された時、メンテしなくてはいけませんが、どうやって追っかけます? - 508 :名無しさん@12周年:2011/10/23(日) 04:11:04.39 ID:ho2F8utp0
- >>504
海外使用、なんでもあり そういうのを顧客に登録させるって書いたんだが
読んでないのかなあ。
>>505
普通にサイト管理してる人の業務範囲だよ。そういうIPリスト更新は - 509 :名無しさん@12周年:2011/10/23(日) 04:14:20.00 ID:XMsiGum/0
- >>508
どうやって運用しますか?
運用する手段もナシに実装ってのは、一般では「作り逃げ」と言います。 - 510 :名無しさん@12周年:2011/10/23(日) 04:14:55.65 ID:ho2F8utp0
- >>509
運用ってなんの?漠然としてるね - 511 :名無しさん@12周年:2011/10/23(日) 04:24:42.15 ID:XMsiGum/0
- >>510
ここでは、フィルタリングソフトのIPフィルタの更新/サポート業務としましょう。
それもユーザ任せですか?
2chで、よくプロバイダ規制掛かりますけど、OCNの大手町なんかすぐ怪しいリスト入りしそうですが、それで規制した場合、使えないユーザーが多数でますが、どうしますか?
銀行決済は、会社の生き死に関わる場合もあります。
間違ってフィルタリングした場合、みずほ銀行のシステム問題みたいになりかねませんが、その辺はどうお考えですか? - 512 :名無しさん@12周年:2011/10/23(日) 04:31:14.15 ID:ho2F8utp0
- >>511
いやいや、ちょっと誤解してるね。
たとえば自分のプロパイダがOCNならOCNと登録して、あとは関東とか関西とか地域で制限
そういうメニューを住所変更などのメニューに追加みたいな感じかな。
でOCN以外からのその顧客IDのログインアクセスを遮断させる。
選択肢を用意して顧客それぞれが制限/解除できるようにしておくんだな。
だれかのIDでのログインが不正だから、ほかのIDのログインに影響するということではないよ。 - 515 :名無しさん@12周年:2011/10/23(日) 04:41:21.74 ID:XMsiGum/0
- >>512
事故や故障でフィルタリングが、おかしくなることはない前提と言う事ですね。
実際は、その辺の考慮も必要と思いますが・・・
起きたら金融庁に呼び出しくらうかもですよw
IPアドレスが、企業間で譲渡された場合、追っかけるのはどうしますか?
Whoisを定期的に監視したとしても、タイムラグが出るのは仕方ないで、
お客様に迷惑かけます? - 516 :名無しさん@12周年:2011/10/23(日) 04:46:00.70 ID:ho2F8utp0
- >>515
きみはまじめに言ってるのか疑わしくなってきたな。
ログインできない、っていうことは今でもあるんじゃないのか?
IDとパスワードが違えば当然ログインできない。それにIPチェックが加わるだけだよ。
金融庁がIPに無頓着でいいと言う筈がないだろ。むしろ現状が問題なんだよ。
>IPアドレスが、企業間で譲渡された場合、追っかけるのはどうしますか?
IPアドレスは各プロパイダが開示しているよ。whoisとは関係ない。 - 517 :名無しさん@12周年:2011/10/23(日) 04:54:00.13 ID:XMsiGum/0
- >>516
各プロバイダの公開したIPを巡回してとって来て、リスト作って更新するにしても、即時で反映させないと顧客からクレーム来ると思うんですよ。
現実問題として実際に出来るの?と。 - 518 :名無しさん@12周年:2011/10/23(日) 04:57:06.12 ID:ho2F8utp0
- >>517
あのさ、銀行がネットバンキングを提供するのに
各プロパイダが使用IPを知らせないわけがないでしょ。
プロパイダにとっては顧客アピールするサービスじゃないのかな。
なんか子供みたいだよそれじゃ。屁理屈だと思わない? - 519 :名無しさん@12周年:2011/10/23(日) 05:00:11.77 ID:XMsiGum/0
- >>518
各プロパイダが使用IPを連絡するチャンネルがあるんで?
各銀行に? - 520 :名無しさん@12周年:2011/10/23(日) 05:01:09.59 ID:ho2F8utp0
- >>519
普通にサーバ管理部門にあるでしょ、銀行に限らずそれなりの規模でサービスしてる企業なら。 - 522 :名無しさん@12周年:2011/10/23(日) 05:06:40.12 ID:XMsiGum/0
- >>520
運用やってますが、そんなの初耳ですが?
少なくとも大手の不動産会社にはないですよ。 - 524 :名無しさん@12周年:2011/10/23(日) 05:09:22.58 ID:ho2F8utp0
- >>522
それはきみの会社だからとしか言えないなあ。
IPフィルタを考えて運営してる企業なら何かしらあるんじゃないかな。 - 525 :名無しさん@12周年:2011/10/23(日) 05:10:16.74 ID:XMsiGum/0
- >>524
官公庁でも運用してましたが、そんなのありませんでしたよ - 526 :名無しさん@12周年:2011/10/23(日) 05:11:31.86 ID:ho2F8utp0
- >>525
だからそれは君の中ではそうなんだろうね。としか言えないな。 - 527 :名無しさん@12周年:2011/10/23(日) 05:13:35.56 ID:XMsiGum/0
- >>526
それは、こっちの台詞ですがwwww
某S社の運用やってた人に訊いても、ないって言いますよwww - 528 :名無しさん@12周年:2011/10/23(日) 05:15:21.81 ID:ho2F8utp0
- >>527
大人は質問には答えないよ。
IPフィルタを銀行ができない、なんて考えてるほうが
おかしいね。 - 530 :名無しさん@12周年:2011/10/23(日) 05:19:22.31 ID:XMsiGum/0
- >>528
フィルタはできるでしょうけど、現実的でないって言ってる訳です。
それに、大手プロバイダならフィルタにかからず、悪さをできる可能性もありますよねw - 532 :名無しさん@12周年:2011/10/23(日) 05:25:42.56 ID:ho2F8utp0
- >>530
可能性の話ではなくて、現実に今行われていないなら、実施すれば
犯罪が減る、と書いてるわけ。
特にネットにうとい人にサービス提供するのならば、それなりの制限をして
提供する必要があるでしょう。
それにさっきから話してるけど、フィルタ自体は非常に単純だから現実的だよ。
運用やってるということだけど、プログラムでのIP制限については知らないのかな?
どうも頭がiptableにいってるみたいだけど。 - 533 :名無しさん@12周年:2011/10/23(日) 05:32:01.91 ID:XMsiGum/0
- >>532
運用屋から言わせると、そんだけの工数積んでメリットあるの?と言いたいのです。
プログラムでやるなら、プログラムでMACアドレスを元にして鍵作って、サーバへ登録。
登録した鍵を持っていないユーザのアクセス制限かけた方が、よほど良さそうにおもえますが。 - 712 :名無しさん@12周年:2011/10/23(日) 23:07:20.67 ID:Phe0FWsp0
- ネットバンキングなんて怖くて使えねーぞ
http://raicho.2ch.net/test/read.cgi/newsplus/1319268595/l50人気ブログランキングへ